记一次对Steam盗号病毒的反制过程

事情起缘于上周的一个无聊的周末，周末总是无聊而又乏味，好基友每周也准时约我吃鸡，可奈何我这个穷逼买！不！起！号！怎么办呢？对！卡盟，随便百度了一个某某卡盟，果然里面各种各样的游戏的账号都有，而且大部分的都是黑号，至于什么是黑号就不多说了（像这种倒卖黑号的也是一条产业链），就随便下了个订单。果不其然，并不是简简单单的直接发账号密码给你，而且还需要你下载所谓的登录器，有些安全意识的朋友都知道陌生可执行的文件千万不要随便去运行。 下载下来后，AV软件不出所料的报红了。

可是我头铁啊，不怂！直接解压添加白名单一气呵成运行软件，运行后我傻眼了，what？？软件居然在跟远程服务器做交互。

起初我以为这只是单纯的从远程服务器上下载账号所需的文件而已，大家都知道当steam在新的一台电脑上登陆的时候是要登陆验证的，其实这类的绕过验证的原理也很简单，steam登陆的时候在根目录产生了两个文件类似于cookie，估计是那些盗号者通过不为人知的手段盗取到号者的秘钥文件然后统一到远程服务器，在然后下载到本地替换文件从而到达了绕过验证的操作。 确实，这台服务器只是简单的储存账号的秘钥文件，可是！！可是！！登陆授权软件这个小碧池背着我又偷偷的在后台搞小动作，还好AV软件给我及时的拦了下来，省去了进一步对软件行为的分析。居然!在Windows的目录下生产个shell文件夹，里面还是有一套ms17-010工具，嗯？给你钱了还要搞我一波内网？这谁乐意啊。

由于前面已经抓到了该软件跟服务器交互的ip，既然是跟盗号有关的我第一个念头想到的就是威胁情报，直接把该ip丢到了某威胁情报看看能不能找到什么线索，果不其然在五月份的时候就有用户标记出了此IDC服务器是用于steam盗号的，且爆出了疑似该服务器的所有者的一些联系方式。

虽然得到了一些可能跟该服务器有关的一些信息，或许这些信息对后续需要爆破时制作密码表是有一定的帮助的，爆破属于后续且咱们现在还对该服务器一无所知，还不清楚开放了哪些端口提供哪些服务，废话不多说上nmap一顿扫描再说。 Nmap -sV -Pn -O -A 4x.xx.xx.95,得到以下信息，中间件使用的是Apache2.4.39版本，服务器是Windows server 2008 R2，且开放的web端口是90,1433的mssql数据库端口也是对外网开放的（这里我们可以结合上面得到的信息制作密码表对数据库进行爆破）。

上面只是对该服务器的一些端口信息初步的探测，接下来咱们在用nmap自带的漏洞脚本进一步对主机的漏洞进行探测，nmap –script=vuln 4x.xx.xx.95这里是利用nmap脚本对目标主机进行检查是否存在常见的漏洞，且如果存在漏洞nmap也会给出相应的cve编号，然后咱们在利用kali自带的metasploit渗透框架进行对应的cve编号搜索验证利用。很遗憾，这里就探测出了一个有cve编号的漏洞cve-2014-3566,该漏洞是属于ssl3.0的信息泄露漏洞可进行中间人攻击，这里咱们就不深入研究了（实际利用的可能性不大）。